La sécurité des Réseaux Partie 6.2 VPN



Documents pareils
Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Sécurité des réseaux IPSec

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Sécurité GNU/Linux. Virtual Private Network

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

IPSEC : PRÉSENTATION TECHNIQUE

Sécurité des réseaux sans fil

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Eric DENIZOT José PEREIRA Anthony BERGER

Le protocole SSH (Secure Shell)

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

Réseaux Privés Virtuels

1 PfSense 1. Qu est-ce que c est

Réseaux Privés Virtuels Virtual Private Networks

Note technique. Recommandations de sécurité relatives à IPsec 1 pour la protection des flux réseau

Arkoon Security Appliances Fast 360

Mettre en place un accès sécurisé à travers Internet

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

TECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7.

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

Mise en route d'un Routeur/Pare-Feu

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Devoir Surveillé de Sécurité des Réseaux

Sécurité des réseaux wi fi

La sécurité des Réseaux Partie 7 PKI

Approfondissement Technique. Exia A5 VPN

Groupe Eyrolles, 2004, ISBN :

PACK SKeeper Multi = 1 SKeeper et des SKubes

Pare-feu VPN sans fil N Cisco RV120W

Pascal Gachet Travail de diplôme Déploiement de solutions VPN : PKI Etude de cas

Groupe Eyrolles, 2006, ISBN : X

Virtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3)

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Mon Sommaire. INEO.VPdfdf. Sécurisations des accès nomades

Description des UE s du M2

Utilisation des ressources informatiques de l N7 à distance

ProCurve Access Control Server 745wl

1. Présentation de WPA et 802.1X

Protocole SSH-2.0. Tuan-Tu, TRAN. Janvier 2009

Rapport de stage. ETUDE IPSec ET INTEGRATION DE L EXTENSION MODE CONFIG DANS LE MODULE IPSec DES UTMs NETASQ. Jigar SOLANKI. Avril-Septembre 2008

Configurer ma Livebox Pro pour utiliser un serveur VPN

WIFI sécurisé en entreprise (sur un Active Directory 2008)

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

Sécurité des réseaux wifi. CREIX Kevin GIOVARESCO Julien

Information. Communication for the open minded. Siemens Enterprise Communications

Mise en place d une politique de sécurité

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Charte d installation des réseaux sans-fils à l INSA de Lyon

Le protocole RADIUS Remote Authentication Dial-In User Service

W I-FI SECURISE ARUBA. Performances/support de bornes radio

[ Sécurisation des canaux de communication

Le rôle Serveur NPS et Protection d accès réseau

Pratique des Solutions VPN sur les réseaux WiFi

La gamme express UCOPIA.

Mise en place d'un Réseau Privé Virtuel

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

Présentation sur les VPN

SECURIDAY 2013 Cyber War

Université de Reims Champagne Ardenne. HTTPS, SSL, SSH, IPSEC et SOCKS. Présenté par : BOUAMAMA Mohamed Nadjib AZIZ Xerin

Parcours en deuxième année

Accès aux ressources informatiques de l ENSEEIHT à distance

Rapport de stage Stage de fin d études IUT Réseaux et Télécommunications

Tutorial VPN. Principales abréviations

Technologies de filtrage FAST VPN IPSEC

Windows Server 2012 R2 Administration

Critères d évaluation pour les pare-feu nouvelle génération

La sécurité des réseaux. 9e cours 2014 Louis Salvail

Table des matières Page 1

KX ROUTER M2M SILVER 3G

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance

TP réseaux Translation d adresse, firewalls, zonage

DISTANT ACESS. Emna TRABELSI (RT3) Chourouk CHAOUCH (RT3) Rabab AMMAR (RT3) Rania BEN MANSOUR (RT3) Mouafek BOUZIDI (RT3)

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence :

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

La sécurité dans les grilles

Action Spécifique Sécurité du CNRS 15 mai 2002

Complémentarité de DNSsec et d IPsec

Contrôle d accès Centralisé Multi-sites

Windows Server 2012 Administration avancée

réseau Tableaux de bord de la sécurité 2 e édition Cédric Llorens Laurent Levier Denis Valois Avec la contribution de Olivier Salvatori

Microsoft Internet Security and Acceleration Déploiement et gestion de Microsoft Internet Security and Acceleration Server 2000

Formations. «Produits & Applications»

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Fiche descriptive de module

SSH, le shell sécurisé

COMMUNIQUER EN CONFIANCE

VPN IP security Protocol

Protocole industriels de sécurité. S. Natkin Décembre 2000

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Windows Server 2012 R2 Administration avancée - 2 Tomes

Transcription:

La sécurité des Réseaux Partie 6.2 VPN Fabrice Theoleyre Enseignement : INSA Lyon / CPE Recherche : Laboratoire CITI / INSA Lyon Références F. Ia et O. Menager, Optimiser et sécuriser son trafic IP, éditions Eyrolles S. Coulondre, cours de sécurité, INSA Lyon, dpt TC V. Bollapragada, M. Khalid, S. Wainner, VPN Design, Cisco Press, 2005 Introduction Flexibilité d utilisation Utilisateurs nomades (commerciaux ) Télétravail Partenaires Eclatement géographie Avant : création de liaisons dédiées coût Maintenant : VPN! 1

Introduction Définition «Créer un canal sécurisé sur un médium qui ne l est pas» Possibilité Connexions d Internet de partenaires Sécurisation des communications sans-fil Sécurisation des communications internes sensibles Fonctions authentification autorisation confidentialité intégrité Introduction Avantages Coût Sécurité Passage à l échelle (intégration de filiales ) Compatibilité avec les technologies de niveau 2 Facilité de déploiement Classification 2

Classification 3 types: Connexion à distance d un utilisateur (roadwarior) Connexion site à site Connexion extranet B2B VPN opérateurs MPLS (mutualisation mais cloisonnement) entreprises IPSEC (extension d IP) GRE (encapsulation) Classification Niveau 2 L2TP PPTP Niveau 3 IPSEC Niveau 5 SSL 3

Au niveau des paquets IP Obligatoire dans la pile IPv6, facultatif dans IPv4 Mis en œuvre dans chaque équipement Sécurité de bout en bout Sécurité par lien Services Confidentialité Authentification Rejeu AH (Authentification Header) Un champ supplémentaire pour l authentification Un champ id contre le rejeu ESP (Encapsulating Security Payload) Chiffrage du paquet Encapsulation si confidentialité des en-têtes Indépendants des algorithmes DES, RC5, Blowfish, HMAC-MD5, HMAC-SHA-1 Modes Transport : agit sur la payload Champ protocole suivant : AH ou ESP Uniquement sur les clients terminaux Tunnel : encapsule le paquet entier Équipements réseaux Mode tunnel Mode transport 4

Paramètres de sécurité Manuel Configuration de chaque équipement, et chaque association Lourd Automatique Protocole dynamique Négociation, mise à jour et suppression de tous les paramètres Fonctionnement Authentification mutuelle Secret partagé ou clés publiques Prise en charge des certificats X509, des autorités de certification Création d un secret commun avec Diffie Hellman Security Association (SA) Identifiée par destination / numéro de série / protocole (AH, ESP) Structure de données comprenant tous les paramètres clés, durée des clés, algorithmes, hôtes Unidirectionnel : un flux 2 SA SA Pour les protocoles ESP et AH ISAKMP SA (ou IKE SA) Uniquement pour le trafic de contrôle Plus grande durée de vie que les SA Echange des clés ISAKMP (Internet Security Association and Key Management Protocol) Stockage des SA, construction des messages, phases obligatoires IKE (Internet Key Exchange) Comment l échange de clés se fait réellement, utilisant le framework ISAKMP IKE (phase 1), ISAKMP SA 1 : Négociation Algorithmes, authentification 2 : Diffie-Hellman (X et Y) Création d un secret partagé K Création d une série de clés Hachage du secret partagé, et de K, Ci, Cr Authentification, confidentialité 3 : prouver l identité Clés publiques : signer le message avec le certificat Secret partagé : générer un hash commun servant à authentifier ID : adresses IP, email, X500 dn IKE (Phase 2), SA Négociation des algorithmes à utiliser Etablissement des clés nécessaires à AH et ESP Cisco Press 5

Déploiement d Intégré dans la plupart des distributions Linux openswan pour pour gérer IKE Les support tools de Windows Configuration Très variable Interopérabilité quelquefois délicate http://www.hsc.fr Protocoles existants 6

Protocoles existants PPTP Crée des trames PPP Les encapsule dans un paquet IP avec GRE Authentification et chiffrement via les extensions de PPP réputé comme peu sûr (clés faibles, mot de passe) source : HSC Protocoles existants L2TP similaire à PPTP chiffrement avec IPSEC le tunnel termine sur une machine distincte de celle ou est placée l interface physique ex : connexion de niveau 2 au DSLAM L2TP Protocoles existants IPSEC pour les VPNs Tunnel Ipsec A - C 7

Protocoles existants IPSEC pour les travailleurs distants (type roadwarrior) Autres utilisations : Extranet Protection d un serveur sensible Accès pour les réseaux sans-fil Protocoles existants SSL-TLS Sécurisation entre 2 applications Authentification réciproque via des clés publiques Fonctionnement 1. Le client envoie un hello au serveur 2. Hello du serveur avec certificat serveur 3. Le client envoie son certificat 4. Le client envoie la clé de session crypté avec la clé publique du serveur 5. Le client envoie un message de vérification de validité reprise possible de sessions (sinon, reconnexion entière) Sécurité authentification / intégrité / confidentialité analyse impossible du flux crypté (IDS) Protocoles existants VPN-SSL redirecteur de protocoles SSL appliances fournissant une redirection des protocoles tourne au dessus de http+ssl enhancer SSL tuyau ssl vers un contrôleur distant Citrix, Terminal Server VPN SSL applicatif redirection de port + tuneling page web regroupant les ressources autorisées interfaçage avec Radius ou LDAP 8

Architectures Architectures Ou placer efficacement le serveur VPN? + le parefeu inspecte le trafic VPN - protection du concentrateur VPN? interception des données? Architectures Ou placer efficacement le serveur VPN? + protection du concentrateur VPN - le parefeu redirige tout vers le concentrateur confiance envers les tiers VPN Piratage du concentrateur intrusion sur le réseau 9

Architectures Ou placer efficacement le serveur VPN? + le parefeu inspecte le trafic VPN protection du concentrateur VPN - performances du parefeu Conclusion Conclusion Avantages crytage et authentification forte des communications économie d échelle (liaison louée VPN) Inconvénients pas de possibilité d inspection du trafic bien placer son serveur VPN performances (demandes CPU importantes) carte accélératrices requises repose dans la confiance dans l autre intrusion sur un poste nomade 10

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back